MAGERIT - METODOLOGÍA DE ANÁLISIS

Y GESTIÓN DE RIESGOS DE LOS

SISTEMAS DE INFORMACIÓN Ing. Kramer Garay Gómez

¿QUÉ ES MAGERIT?

Es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, como respuesta a la percepción de que la Administración, y, en general, toda la sociedad, dependen de forma creciente de las tecnologías de la información para el cumplimiento de su misión.

El análisis y gestión de los riesgos es un aspecto clave del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica que tiene la finalidad de poder dar satisfacción al principio de proporcionalidad en el cumplimiento de los principios básicos y requisitos mínimos para la protección adecuada de la información. MAGERIT es un instrumento para facilitar la implantación y aplicación del Esquema Nacional de Seguridad.

INTRODUCCIÓN

Las organizaciones, públicas o privadas, dependen

de forma creciente de las tecnologías de la

información para lograr sus objetivos de negocio.

MAGERIT interesa a organizaciones que trabajan

con información automatizada y sistemas

informáticos.

Si dicha información y los servicios que se prestan

son valiosos, MAGERIT permite saber cuanto valor

esta en juego y ayudará a protegerlo.

INTRODUCCION

Con MAGERIT se persigue una aproximación

metódica que no deje lugar a la improvisación, ni

dependa de la arbitrariedad de los analistas.

Figura 1. ISO 31000 - Marco de trabajo para la gestión de riesgos

OBJETIVOS DE MAGERIT

Directos:

Concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos

Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones (TIC)

Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control

Indirectos

Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso

COMPONENTES

LIBRO 1

Método: describe las tareas a realizar para

acometer proyectos de análisis y gestión de riesgos

aportando una guía para el desarrollo de análisis

de riesgos, aspectos prácticos y consejos para

facilitar la tarea.

LIBRO 2

Catálogo de elementos: recoge el catálogo de

elementos implicados en el análisis de riesgos tales

como: una categorización de activos, las

dimensiones aplicables (DICAT), criterios para

valoración de activos como procesos de negocio o

datos, catálogo de amenazas y un catálogo de

medidas a implantar para mitigar los riesgos a los

que están expuestos los sistemas de información.

Por último indica cómo desarrollar un informe.

LIBRO 3

Guía de técnicas: proporciona técnicas para el

análisis de riesgos tales como: Algoritmos de

análisis, árboles ataque, análisis coste-beneficio,

diagramas de flujo, tablas de procesos o técnicas

de trabajo. El uso de la herramienta asociada a

esta metodología PILAR implementa muchas de

estas soluciones técnicas.

¿CÓMO DEFINE MAGERIT EL PROCESO DE

ANÁLISIS DE RIESGOS?

A la hora de llevar a cabo un proyecto de análisis y

gestión de riesgos de acuerdo con MAGERIT se

proponen 3 etapas diferenciadas:

1. Planificación del proyecto

2. Análisis de riesgos

3. Gestión de riesgos

Proceso P1: Planificación del proyecto de análisis y gestión de riesgos

Actividad A1.1: Estudio de oportunidad

Tarea T1.1.1: Determinar la oportunidad

Actividad A1.2: Determinación del alcance del proyecto

Tarea T1.2.1: Objetivos y restricciones generales

Tarea T1.2.2: Determinación del dominio y límites

Tarea T1.2.3: Identificación del entorno

Tarea T1.2.4: Estimación de dimensiones y coste

Actividad A.1.3: Planificación del proyecto

Tarea T1.3.1: Evaluar cargas y planificar

entrevistas

Tarea T1.3.2: Organizar a los participantes

Tarea T1.3.3: Planificar el trabajo

Actividad A1.4: Lanzamiento del proyecto

Tarea T1.4.1: Adaptar los cuestionarios

Tarea T1.4.2: Criterios de evaluación

Tarea T1.4.3: Recursos necesarios

Tarea T1.4.4: Sensibilización

Proceso P2: Análisis de Riesgos

Actividad A2.1: Caracterización de los activos

Tarea T2.1.1: Identificación de los activos

Tarea T2.1.2: Dependencia entre activos

Tarea T2.1.3: Valoración de los activos

Actividad A2.2: Caracterización de las amenazas

Tarea T2.2.1: Identificación de las amenazas

Tarea T2.2.2: Valoración de las amenazas

Actividad A2.3. Caracterización de las salvaguardas

Tarea T2.3.1: Identificación de las salvaguardas existentes

Tarea T2.3.2: Valoración de las salvaguardas existentes

Actividad A2.4: Estimación del estado de riesgos

Tarea T2.4.1: Estimación del impacto

Tarea T2.4.2: Estimación del riesgo

Tarea T2.4.3: Interpretación de los resultados Proceso P3: Gestión de riesgos

Actividad A3.1: Toma de decisiones

Tarea T3.1.1: Calificación de los riesgos

Actividad A3.2: Plan de seguridad

Tarea T3.2.1: Programa de seguridad

Tarea T3.2.2: Plan de ejecución

Actividad A3.3: Ejecución del Plan

Tarea T3.3: Ejecución de cada programa de seguridad

ESCENARIO DE ANÁLISIS DE RIESGOS

PILAR

Es una herramienta que implementa la metodología

MAGERIT de análisis y gestión de riesgos, desarrollada por el

Centro Criptológico Nacional (CCN) y de amplia utilización en

la administración pública española

http://www.pilar-tools.com/es/

TERMINOLOGÍA

Activo: Recursos del sistema de información o

relacionados con éste, necesarios para que la

Organización funcione correctamente

Amenazas: Eventos que pueden desencadenar un

incidente en la Organización, produciendo daños

materiales o pérdidas inmateriales en sus activos.

Impacto: Si estimamos la frecuencia con que se

materializan las amenazas, podemos deducir el

riesgo al que está expuesto el sistema.

Degradación y frecuencia califican la vulnerabilidad

del sistema.

TERMINOLOGÍA

Riesgo: Estimación del grado de exposición a que

una amenaza se materialice sobre uno o más

activos causando daños o perjuicios a la

Organización.

Salvaguarda: Procedimiento o mecanismo

tecnológico que reduce el riesgo.

Riesgo Residual: Riesgo remanente en el sistema

tras la implantación de las salvaguardas

determinadas en el plan de seguridad de la

información.

Conceptos Importantes

RIESGO

La probabilidad de que una amenaza en particular

explote una vulnerabilidad causando un impacto

negativo sobre mis negocios

AMENAZA

Un evento con el potencial de afectar negativamente

la Confidencialidad, Integridad o Disponibilidad de los

Activos de Información.

VULNERABILIDAD

Una debilidad que facilita la materialización de

una amenaza

CONTROL

Cualquier medida de protección orientada a

asegurar la Confidencialidad, Integridad o

Disponibilidad de los Activos de Información.

ROBO

PUERTAS Y

VENTANAS

ABIERTAS

ALARMA

Ej:

METODOLOGÍAS

CRAMM

OCTAVE

MEHARI

SP800-30

TAREA PARA LA SEMANA:

Previo a un Análisis de Riesgos Ud., como Oficial de Seguridad

necesita hacer un inventario de los Activos de Información de su

Empresa/Organización (establezca Ud. la línea de negocio).

Utilizando:

a. Bienes de Información (documentos)

b. Bienes Físicos

c. Bienes de Software

d. Personas

e. Servicios

f. Intangibles

• Determine 02 activos por cada clasificación.

• Determine 03 vulnerabilidades y 03 amenazas correspondientes

por cada activo.

• Establezca pesos de acuerdo a la probabilidad de ocurrencia de

cada amenaza (Alto=3, Medio=2, Bajo=1)

TAREA PARA LA SEMANA

(cont): • Utilice el siguiente cuadro como ejemplo:

Activo Vulnerabilidades Amenazas Probabilidad de Ocurrencia

Activo 1 V1 A1 M

V2 A2 A

V3 A3 B

Activo 2 V4 A4 M

V2 A2 M

V5 A5 B

• ¿Qué pudo observar al momento de listar las Vulnerabilidades y

Amenazas?¿hay repeticiones?

• ¿Cuáles considera que son los activos más críticos de su lista?.

Justifique su respuesta.